Avec l’introduction du RGPD en 2018, la protection des données est devenue un enjeu majeur pour les entreprises. Ce règlement général, en vigueur dans toute l’Union Européenne, est une législation stricte visant à protéger les droits et les libertés des personnes dont les données personnelles sont traitées.
Dans le RGPD, la désignation d’un Délégué à la Protection des Données (DPO) apparaît comme un élément clé pour assurer la conformité des entreprises et des acteurs publics. Mais le DPO est-il obligatoire ? Sous quelles conditions ? Et pourquoi, même en l’absence d’obligation légale, cette fonction reste-t-elle fortement conseillée ? Institut Mines-Télécom Business School, qui forme les DPO de demain grâce au Mastère spécialisé Data Protection Management, répond à vos questions.
Quand la désignation d’un DPO est-elle obligatoire selon le RGPD ?
L’article 37 du RGPD définit clairement les cas où la désignation d’un DPO est obligatoire :
- Organisations publiques ou autorités publiques : toute autorité ou tout organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction judiciaire ;
- Activités de base consistant en un traitement à grande échelle de données sensibles : les entreprises et associations qui traitent de manière systématique et de façon massive des données sensibles (données de santé, opinions politiques, données biométriques et génétiques, etc.) ;
- Activités de base consistant en un suivi régulier et systématique des personnes à grande échelle : les entreprises dont l’activité consiste à surveiller et suivre le comportement des individus (géolocalisation, profilage, vidéosurveillance, etc.)
En cas de non-respect de cette obligation, l’organisme ou l’entreprise s’expose à des sanctions pouvant atteindre 20 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’entreprise.
Le DPO a pour mission de conseiller l’entreprise ou l’organisme public dans sa mise en conformité. C’est un expert qui sensibilise et forme les équipes, réduit les risques juridiques et financiers, joue le rôle de point de contact sur le sujet de la protection des données. Si la désignation d’un DPO n’est pas obligatoire pour tous, elle est donc très fortement recommandée par la CNIL (Commission Nationale de l’Informatique et des Libertés).
Comment nommer un DPO ?
Que la nomination du DPO soit obligatoire ou non, il existe plusieurs solutions pour le désigner. Le Data Protection Officer peut être nommé en interne, à temps plein ou à temps partiel. Il peut s’agir d’un consultant ou prestataire externe intervenant ponctuellement.
Le DPO doit disposer des compétences spécifiques attendues pour conseiller la direction. Le choix entre un intervenant interne ou externe, à temps plein ou non, dépend de la taille de l’entreprise et de son utilisation de la donnée.
Et si vous deveniez Data Protection Officer ?
En raison de l’obligation légale du RGPD et des recommandations de la CNIL, les profils de DPO sont très recherchés. Le Mastère spécialisé Data Protection Management forme des professionnels capables de gérer la conformité avec le RGPD et de piloter la stratégie de protection des données au sein des entreprises et acteurs publics.
Exemples de postes occupés par nos alumni :
Nos diplômés exercent aujourd’hui des fonctions clés en matière de gouvernance de la donnée et de conformité réglementaire, telles que :
- Délégué(e) à la protection des données (DPO) ;
- Data Protection Manager ;
- Chargé(e) de mission ou de projet conformité RGPD ;
- Chef(fe) de projet conformité IT ou encore Consultant(e) en protection des données.
Ce programme combine une formation complète sur les réglementations et les bonnes pratiques en matière de protection des données personnelles, ainsi qu’un aspect stratégique, ce qui permet de préparer les étudiants aux fonctions de DPO et d’autres métiers associés.
Devenez un superman ou une superwoman de la Data Protection avec Institut Mines-Télécom Business School !
Intéressé.e par notre Mastère Spécialisé en Data Protection Management ?
Rendez-vous vite sur le lien suivant pour en savoir plus.